根據(jù)安全研究人員的說法，Android版流行的在線約會應用程序中發(fā)現(xiàn)的安全漏洞可能允許黑客訪問用戶名，密碼和個人信息。

網(wǎng)絡安全公司Checkmarx的研究人員發(fā)現(xiàn)了Android版本的OKCupid約會應用程序(谷歌Play商店列出的下載量超過1000萬)的缺陷。研究人員之前已經(jīng)披露過可能被另一個約會應用程序中的黑客濫用的漏洞。

研究人員發(fā)現(xiàn)，瀏覽器中內置的 WebView包含可被攻擊者利用的漏洞。

雖然應用程序中的大多數(shù)鏈接都會在用戶選擇的瀏覽器中打開，但研究人員發(fā)現(xiàn)可以模仿應用程序中打開的某些鏈接。

Checkmarx的應用安全研究負責人Erez Yalon告訴ZDNet，“其中一種類型的鏈接非常容易模仿，具有基本技能的攻擊者能夠做到這一點并說服OKCupid這是一個安全的鏈接。”

使用這個，研究人員發(fā)現(xiàn)他們可以創(chuàng)建一個虛假版本的OKCupid登錄頁面并使用虛假配置文件，使用應用程序的消息服務進行網(wǎng)絡釣魚攻擊，邀請目標用戶點擊鏈接

用戶需要輸入其登錄詳細信息才能查看消息內容，并將其憑據(jù)交給攻擊者。并且由于內部鏈接不顯示URL，因此用戶不會指示他們已登錄到應用程序的虛假版本。

使用受害者的用戶名和密碼被盜后，攻擊者可以登錄其帳戶并查看其個人資料中的所有信息，可能會識別用戶身份。鑒于約會應用程序的親密性，可能包括用戶不希望公開的信息。

“我們不僅可以看到用戶的名稱和密碼以及他們發(fā)送的消息，還可以看到所有內容：我們可以關注他們的地理位置，他們正在尋找的關系，性取向 - 無論OKCupid對您有什么影響，攻擊者都可以獲得對你說，“亞隆說。

他們發(fā)現(xiàn)，攻擊者也可能將制作網(wǎng)絡釣魚鏈接與API和JavaScript功能結合起來，這些功能無意中暴露給用戶。通過這樣做，可以刪除加密并將連接從HTTPS降級到HTTP - 它允許進行中間人攻擊。

通過這樣做，攻擊者可以看到用戶正在做的一切，模仿受害者，更改消息 - 甚至跟蹤受害者的地理位置。

該安全公司在去年11月向OKCupid所有者Match Group披露了調查結果，并在不久之后推出了更新以消除漏洞。Yalon稱贊Match Group“非常敏感”。

一位OKCupid發(fā)言人告訴ZDNet“Checkmarx提醒我們Android應用程序中存在一個安全漏洞，我們修補并解決了這個問題。我們還檢查了這個問題在移動設備和iOS上都不存在，”

Checkmarx強調沒有真正的用戶被利用作為他們研究的一部分，雖然沒有想到攻擊已經(jīng)在野外使用，Yalon指出“我們無法真正說出 - 因為它隱藏得如此之好。 “